Компания Group-IB разработала интересный аналитический отчет:
Впервые вскрыта инфраструктура Lazarus, детально описаны вредоносные программы и приведены доказательства причастности Северной Кореи.
С основными выводами из отчета, можно ознакомится ниже:
ОСНОВНЫЕ НАХОДКИ:
Уникальные инструменты и инфраструктура управления
- Для маскировки хакеры выстроили трехуровневую инфраструктуру серверов управления, внутри которой пробросили шифрованный SSL-канал, данные в нем дополнительно шифровались. Для обеспечения своей анонимности хакеры взяли на вооружение легитимный сервис SoftEther VPN. А в некоторых случаях атакующие использовали корпоративные web-серверы, которые находились уже в атакованной инфраструктуре.
- Для управления зараженными компьютерами хакеры использовали многомодульные инструменты, стараясь максимально усложнить анализ программных модулей. При этом они смогли провести несколько успешных атак, ни на одном из этапов не использовав 0-day эксплойты. А из-за постоянно меняющегося набора используемых инструментов, выявить активность Lazarus используя Endpoint Security решения, было очень сложно.
Причастность Северной Кореи:
Анализируя инфраструктуру Lazarus, мы обнаружили, что подключение к самому последнему, третьему уровню серверов управления происходило с двух IP-адресов Северной Кореи: 210.52.109.22 и 175.45.178.222. Второй IP-адрес относится к району Potonggang в Пхеньяне, в котором располагается Национальная комиссия КНДР по обороне — высший военный орган страны.
Еще одним подтверждением причастности северокорейских хакеров стало то, что анализируя открытые источники информации, мы нашли репортаж 2016 года южнокорейского агентства «Arirang News» о расследовании, про-веденном South Korea’s National Police Agency. В рамках расследования атаки северокорейских хакеров Dark Seoul Gang (также известных как Lazarus) на южнокорейские телевизионные станции и банки были выявлены два IP-адреса злоумышленников: 175.45.178.19 и 175.45.178.97. Оба IP-адреса находятся в том же блоке IP-адресов, что и 175.45.178.222, который был обнаружен нами.
Предположительно, группа Lazarus, входит в состав Bureau 121 — одного из подразделений Разведывательного управления генштаба КНА (КНДР), в задачи которого в том числе входит проведение военных киберопераций.
Попытка выдать себя за русских хакеров
Начиная с 2016 года группа Lazarus предприняла несколько шагов для того, чтобы выдать себя за русских хакеров. В одну из версий модуля, отвечающего за пересылку сетевого трафика были добавлены отладочные символы и строки с русскими словами, написанными на латинице. Для защиты своих исполняемых файлов был использован коммерческий протектор Enigma, разработанный русским автором. А эксплойты для Flash и Silverlight были позаимствованы из наборов эксплойтов, созданных русскоговорящими хакерами. Поначалу это ввело в заблуждение некоторых исследователей, которые лишь на основе быстрого анализа кода сделали вывод о причастности русских хакеров.
Околоправительственные хакеры Lazarus получили доступ к системе SWIFT атакованных банков. Хотя подобных инцидентов пока очень мало, но тренд уже заметен: околоправительственные группировки атакуют финансовые организации, которые можно отнести к критической инфраструктуре, с целью хищений или шпионажа. Из других примеров: в 2010-2013, предположительно, АНБ проводило спецоперации по атаке на банковскую инфраструктуру Ближнего Востока с целью получения доступа к системе SWIFT. А в 2017 стало известно об атаках на Украинские банки, осуществленные группой BlackEnergy.
Жертвы
Нам удалось найти самый ранний индикатор атаки, относящийся к марту 2016 года. То есть сразу после известного инцидента в Центральном Банке Бангладеш в феврале 2016, когда хакерам не удалось украсть $1 млрд лишь из-за ошибки в назначении платежа — на последнем этапе перевода денег. Вероятно, после него Lazarus предпринял попытки внести изменения в свою тактику, а также модифицировать свои инструменты.
Среди скомпрометированных сетей мы обнаружили государственные подсети разных стран, фармацевтические компании в Японии, Китае, университеты США, Канады, Великобритании, Индии, Болгарии, Польши, Турции.
*Информация для этой страницы предоставлена компанией Group-IB.
Отправить статью в социальные сети, на печать, e-mail и в другие сервисы:
